Hallo
habe einen LC 1721 und dahinter eine ApplicationLevel-Firewall (ja, immer noch dasselbe - bin sicher bald bekannt wie ein bunter Hund...)
--[inet]---[LC1721: 192.168.x.1/24]---[FW eth1: 192.168.x.2]
[FW eth0: 192.168.y.1]---[LAN]---
Soweit läuft alles perfekt. Jetzt möchte ich noch die Faxschnittstelle verwenden können, aber die Maschine im LAN findet den Router nicht, auch nicht wenn ich im LANCAPI direkt die IP 192.168.x.1 als Ziel angeben.
Darauf habe ich den Laptop mal direkt an den LC1721 gehängt und mit Ethereal mal ein bisschen gesnifft um zu schauen, wie das laufen sollte. Und jetzt versteh ich gar nichts mehr:
Der PC sucht den Router mit einem Broadcast über TFTP, also
src ip: 192.168.15.15, src port: 1166;
dest ip: 255.255.255.255, dest port: 69
Der Router wechselt jetzt aber die Ports:
src ip: 192.168.15.1 src port: 47652
dest ip 192.168.15.15 dest. port: 1166
(und darin sagt der Router offenbar, dass er über Port 75 erreichbar sei; aber warum läuft die Kommunikation nicht über 69->4655, wie bei jedem anderen Protokoll auch??)
Und jetzt wird erst die Verbindung aufgebaut mit
src ip: 192.168.15.15, src port: 1165
dest ip: 192.168.15.1, dest port: 75
und entsprechend kommen die Antworten mit vertauschten src port/dest port, wie zu erwarten.
(aber warum der nochmalige Portwechsel auf 1165? und nicht bei 1166 bleiben)
Jetzt mach ich einfach auf der AppLevel-Firewall die erwähnten Ports auf, und dann sollte es funktionieren - tuts aber nicht, und ich habe wieder mal keine Ahnung warum.
Aber um dem Fass den Boden auszuschlagen, geht das Spielchen nach einem Neustart bei Port 4655 los, statt wie vorher 1166 -> wie soll man da Firewall-Regeln einrichten?
Vielleicht kann mir jemand ein bisschen techn. Hintergrund vermitteln oder sagen, was ich jetzt schon wieder verkehrt mache.
Vielen Dank
Markus @softline
LANCAPI hinter Firewall
Moderator: Lancom-Systems Moderatoren
Hi Softline
Am besten liest du dir mal ein paar Bücher zum Thema TCP/IP durch und besorgst dir dann eine vernünftige Firewall, die auch Protokolle wie TFTP versteht - oder zumindest nicht daran scheitert.
Wenn du partout bei deiner Firewall bleiben willst, dann hift dir nur, folgende ALLOW-Regeln einzurichten:
Bachte, daß hier nirgendwo Quellports gesetzt sind, da sie beliebig sin können (müssen/sind)
Gruß
Backslash
weil TFTP so definiert ist (RFC 1350):Der Router wechselt jetzt aber die Ports:
src ip: 192.168.15.1 src port: 47652
dest ip 192.168.15.15 dest. port: 1166
(und darin sagt der Router offenbar, dass er über Port 75 erreichbar sei; aber warum läuft die Kommunikation nicht über 69->4655, wie bei jedem anderen Protokoll auch??)
Code: Alles auswählen
In order to create a connection, each end of the connection chooses a
TID for itself, to be used for the duration of that connection. The
TID's chosen for a connection should be randomly chosen, so that the
probability that the same number is chosen twice in immediate
succession is very low. Every packet has associated with it the two
TID's of the ends of the connection, the source TID and the
destination TID. These TID's are handed to the supporting UDP (or
other datagram protocol) as the source and destination ports. A
requesting host chooses its source TID as described above, and sends
its initial request to the known TID 69 decimal (105 octal) on the
serving host. The response to the request, under normal operation,
uses a TID chosen by the server as its source TID and the TID chosen
for the previous message by the requestor as its destination TID.
The two chosen TID's are then used for the remainder of the transfer.
weil's für den PC ein neuer Socket ist (Zielport nun 75 ist nicht 69 und auch nicht der dynamische Port des TFTP)Und jetzt wird erst die Verbindung aufgebaut mit
src ip: 192.168.15.15, src port: 1165
dest ip: 192.168.15.1, dest port: 75
und entsprechend kommen die Antworten mit vertauschten src port/dest port, wie zu erwarten.
(aber warum der nochmalige Portwechsel auf 1165? und nicht bei 1166 bleiben)
In dem du den Quellport völlig ignorierst - der ist nämlich zufällig (zumindest sollte er es sein)...Aber um dem Fass den Boden auszuschlagen, geht das Spielchen nach einem Neustart bei Port 4655 los, statt wie vorher 1166 -> wie soll man da Firewall-Regeln einrichten?
Am besten liest du dir mal ein paar Bücher zum Thema TCP/IP durch und besorgst dir dann eine vernünftige Firewall, die auch Protokolle wie TFTP versteht - oder zumindest nicht daran scheitert.
Wenn du partout bei deiner Firewall bleiben willst, dann hift dir nur, folgende ALLOW-Regeln einzurichten:
Code: Alles auswählen
TFTP-Kommando:
Quelle: dein Netz (oder dein PC)
Ziel: IP-Adresse des LANCOMs, UDP-Port 69
TFTP-Daten:
Quelle: IP-Adresse des LANCOMs
Ziel: Dein Netz (oder dein PC), *ALLE* UDP-Ports
LANCAPI:
Quelle: dein Netz (oder dein PC)
Ziel: IP-Adresse des LANCOMs, UDP-Port 75Bachte, daß hier nirgendwo Quellports gesetzt sind, da sie beliebig sin können (müssen/sind)
Gruß
Backslash
Hallo backslash
Vielen Dank - wieder einmal eine rasche und kompetente Antwort.
nun, ich glaube, dass Problem liegt mehr zwischen Stuhl-Rückenlehne und Tastatur - sprich: der Depp weiss nicht wie ers konfigurieren muss...
Jedenfalls nochmals vielen herzlichen Dank.
Markus@softline
Vielen Dank - wieder einmal eine rasche und kompetente Antwort.
Spannende Geschichte -wieder was gelernt.weil TFTP so definiert ist (RFC 1350):
Code: ‹ Select › ‹ Expand ›
In order to create a connection, each end of the connection chooses a
TID for itself, to be used for the duration of that connection. The
...
Du wirst es nicht glauben - aber das habe ich...nur war in keinem TFTP ein Thema. Und RFC gehören sicher auch zu deiner Lieblingslektüre, nicht wahr?Am besten liest du dir mal ein paar Bücher zum Thema TCP/IP
Schluck...und besorgst dir dann eine vernünftige Firewall
nun, ich glaube, dass Problem liegt mehr zwischen Stuhl-Rückenlehne und Tastatur - sprich: der Depp weiss nicht wie ers konfigurieren muss...
Jedenfalls nochmals vielen herzlichen Dank.
Markus@softline